[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

DMZ - konzeptuelle Gedankenstütze gesucht ...

Hallo alle,...

... in einem Netzwerk, welches ich vor kurzem betreuungstechnisch
übernehmen durfte, ist folgende Situation gegeben:

- Die Firma hat DSL-Standleitung mit insgesamt 4 öffentlichen
  IP-Adressen.

- Gegenwärtig wird eine der IP-Adressen genutzt und hängt am
  externen Interface einer GNU/Linux-Firewall.

- Intern hängen am Router das "richtige" Intranet und eine DMZ
  (wobei diese lediglich aus einem über Crossover-Kabel mit einem
  dritten NIC im Router verbundenen Host besteht). Dieser Host ist
  sowohl von außen erreichbarer FTP- als auch von innen erreichbarer
  Samba-Server sowie Reverse Proxy für die Web-Frontends der
  produktiven Server, die im richtigen LAN stehen (müssen).

Das Setup ist im Grunde genommen logisch und klar, weswegen ich mir
bislang keine größeren Gedanken gemacht habe. Sinnvollerweise sollen
jetzt allerdings (aus verschiedenen Gründen) die drei verbleibenden
öffentlichen IP-Adressen ebenfalls richtig verwendet werden, wofür
mir prinzipiell zwei Möglichkeiten vorschweben:

(a) Der einfachste Weg schiene mir, die gegenwärtige Firewall auf
    drei weitere Maschinen zu kopieren und diese Kopien an die
    anderen IP-Adressen zu hängen. Sollte eine schnelle Lösung sein,
    für die mir allerdings aus dem Stand einige Nachteile einfallen
    (wovon der erhöhte administrative Aufwand für vier statt einer
    Firewall noch der kleinste ist).

(b) Andererseits steht die Idee, die drei weiteren IP-Adressen
    direkt auf Hosts in der DMZ zu verteilen, wo ich allerdings den
    Nachteil sehe, daß für die DMZ derzeit ein Adreßraum verwendet
    wird, der nicht zu den öffentlichen IP's paßt (zwangsläufig).

Fragen meinerseits:

- Prinzipiell und wichtigstens: Kann mir jemand Doku empfehlen, in
  der man konzeptuelle und grundlegende Aspekte zum Thema DMZ
  nachlesen kann? google und tldp waren leider nicht sehr hilfreich,
  was das betrifft, ich würd' allerdings hier schon gern genauer
  verstehen, was ich treibe, bevor ich Hand an das Setup lege.

- Wie handhabt Ihr solche Netzwerk-Setups?


TIA, schön' Tag Euch allen...
Kris


-- 
Für Freiheit und die Wahrung demokratischer Grundrechte im 
Informationszeitalter - gegen Zensur, Manipulation und digitale
Entmündigung. Schütze Deine Rechte - sag _DEINE_ Meinung! 
---------------	http://www.stop1984.org ----------------------
Reply to: